JP6022041B2 - IPSecトンネルの確立方法及びシステム - Google Patents

IPSecトンネルの確立方法及びシステム Download PDF

Info

Publication number
JP6022041B2
JP6022041B2 JP2015512991A JP2015512991A JP6022041B2 JP 6022041 B2 JP6022041 B2 JP 6022041B2 JP 2015512991 A JP2015512991 A JP 2015512991A JP 2015512991 A JP2015512991 A JP 2015512991A JP 6022041 B2 JP6022041 B2 JP 6022041B2
Authority
JP
Japan
Prior art keywords
base station
server
ipsec tunnel
security gateway
configuration
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015512991A
Other languages
English (en)
Other versions
JP2015517773A (ja
Inventor
チャオカイ リアン
チャオカイ リアン
ジュンフェン リャオ
ジュンフェン リャオ
ルイ リー
ルイ リー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Publication of JP2015517773A publication Critical patent/JP2015517773A/ja
Application granted granted Critical
Publication of JP6022041B2 publication Critical patent/JP6022041B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/64Hybrid switching systems
    • H04L12/6418Hybrid transport
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/11Allocation or use of connection identifiers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、通信セキュリティ分野に関し、具体的に、IPSecトンネルの確立方法及びシステムに関する。
移動通信技術の高速発展に伴って、第3世代移動通信システムは既に長期進化型(LTE:Long Term Evolution)段階に発展していて、LTE無線ネットワークにおける基地局(eNodeB EvolutedNode B)の数は非常に多く、伝統的な方式で多くの基地局を配置すると、メンテナンス及び運営コストが高くなってしまう。第2世代及び第3世代の移動通信システムにも同じ問題が存在する。従って、3GPPは、自動的なインストール、配置、メンテナンス作業を提供することで、人為的な関与を低減する自己組織化ネットワーク(SON:Selforganizing Network)の方法を提案し、大量の人工配置を低減し自動的にネットワークを確立する。そして、LTE等の発展に伴って、事業者等はいずれも家庭企業レベルの小型基地局Femtoを提案しており、家庭企業レベルのFemtoは大部分が第3者の事業者の転送ネットワークを経てコアネットワークに達するので、セキュリティに対する要求がかなり高く、また、普通のユーザを対象とするので、セキュリティに関する配置が複雑で専門的なものであってはいけなく、ユーザに対して全ての専門用語を遮断した方が望ましい。
電信業務のデータ量が大きく、ネットワーク構造が複雑で、LTEがオールIPネットワークを基礎とする等の特徴により、3GPPは、IPSec(IP Security)トンネルを介したコアネットワークへのアクセスを推薦した。IPSecは、事前共有キーPSK(Pre―Shared―Key)とデジタル証明書PKI(Public Key Infrastructure)の2種類の認証方式でIPSec安全トンネルを確立することができる。事前共有キーを用いて身元を確認してIPSecリンクを確立する二つのエンティティはいずれも一対の事前共有キーのメンテナンスを行わなければならなく、これにより、配置したセキュリティ性をさらに低減させ、エラー発生率を増加させる。ネットワークを大規模に形成している状況下、PSKには配置が複雑でメンテナンスが難しい等の問題が存在するので、一般に、基地局が多い場合、メンテナンス・運営及びセキュリティ性の方面から、事業者は殆どPKI認証方式を用いる。
一般的に、基地局のPKI認証モードは、オフラインで証明書を予めインストールした後、ユーザによって対応するセキュリティ・ゲートウェイIP及びセキュリティポリシーを配置する。当該モードにおいて、各基地局の配置やメンテナンスが複雑で、ユーザに対する要求も高く、普通の家庭又は非専門のユーザには適しないので、PKI認証方式に基づくIPSec自己配置及び安全なトンネルの自己確立に対して特別な需要がある。
関連技術において基地局とコアネットワークとの間で安全な通信リンクを自己発見及び自動確立することのできない問題に対して未だに有効な解決案を提案していない。
本発明は、少なくとも上記の関連技術において基地局とコアネットワークとの間で安全な通信リンクを自己発見及び自動確立することのできない問題を解決できるIPSecトンネルの確立方法及びシステムを提供することをその目的とする。
本発明の一態様によると、基地局が配置サーバーに第1の配置パラメーターを要求し、配置サーバーが応答した第1の配置パラメーターに基づいてCAサーバーにデジタル証明書を要求することと、基地局が取得したデジタル証明書に基づいて、セキュリティ・ゲートウェイと一時的なIPSecトンネルを確立し、一時的なIPSecトンネルを介してバックグラウンドネットワーク管理ユニットへ第2の配置データを要求することと、基地局が第2の配置データを取得した後、一時的なIPSecトンネルを取り除き、第2の配置データに基づいて、セキュリティ・ゲートウェイとの間に永続的なIPSecトンネルを確立することとを含むIPSecトンネルの確立方法を提供する。
基地局が配置サーバーに第1の配置パラメーターを要求することは、基地局が配置サーバーとTLSリンクを確立し、配置サーバーに第1の配置パラメーターを要求することを含むことが好ましい。
第1の配置パラメーターは、基地局の一時的な伝送IPアドレスと、セキュリティ・ゲートウェイと確立したIPSecトンネルのIPアドレスと、CAサーバーのアドレスと、証明書パスと、生成した証明書の公開鍵長さと、バックグラウンドネットワーク管理ユニットのIPアドレスを含むことが好ましい。
配置サーバーが応答した第1の配置パラメーターに基づいてCAサーバーにデジタル証明書を要求することは、基地局が、配置サーバーが応答した第1の配置データを取得した後、証明書管理プロトコルによりCAサーバーに基地局エンティティ証明書及びCAサーバーのルートCA証明書の発行を要求することを含むことが好ましい。
基地局が取得したデジタル証明書に基づいてセキュリティ・ゲートウェイと一時的なIPSecトンネルを確立することは、基地局がセキュリティ・ゲートウェイにPKI認証方式による一時的なIPSecトンネルの確立を要求することと、基地局がセキュリティ・ゲートウェイと各自のエンティティ証明書の遣り取りをし、エンティティ証明書の検証に成功した後、基地局とセキュリティ・ゲートウェイとの間の一時的なIPSecトンネルを確立することと、を含むことが好ましい。
基地局が一時的なIPSecトンネルを介してバックグラウンドネットワーク管理ユニットに第2の配置データを要求することは、基地局が一時的なIPSecトンネルに基づいて、コアネットワーク内に配置されたバックグラウンドネットワーク管理ユニットにリンク確立要求メッセージを送信することと、基地局とバックグラウンドネットワーク管理ユニットのリンク確立に成功した後、基地局がSecureファイル転送プロトコルにより、バックグラウンドネットワーク管理ユニットに基地局のソフトウェアバージョンパケットと第2の配置データを要求することと、バックグラウンドネットワーク管理ユニットがデータベース中の基地局のソフトウェアバージョンが現在のバージョンより新しいものであるか否かを判断し、YESと判断すると、ソフトウェアバージョンパケットと第2の配置データを基地局に送信し、NOと判断すると、第2の配置データを基地局に送信することと、を含むことが好ましい。
基地局が第2の配置データを取得した後、一時的なIPSecトンネルを取り除き、第2の配置データに基づいてセキュリティ・ゲートウェイとの間に永続的なIPSecトンネルを確立することは、基地局が最新のソフトウェアバージョンパケットと第2の配置データを取得した後、配置サーバーに、関連する配置リソースのリリースを通知し、セキュリティ・ゲートウェイと確立した一時的なIPSecトンネルを取り除き、第2の配置データに基づいて、改めてセキュリティ・ゲートウェイとPKI認証方式による永続的なIPSecトンネルを確立することを含むことが好ましい。
基地局が第2の配置データに基づいてセキュリティ・ゲートウェイとの間に永続的なIPSecトンネルを確立した後、基地局が、CAサーバーにより基地局に発行されたデジタル証明書の有効期限が切れる前に、CAサーバーに証明書の更新又は秘密鍵の更新を要求することを更に含むことが好ましい。
基地局は、マクロ基地局、企業レベルの小型基地局PICO、家庭レベルのマイクロ基地局Femtoのうちの1つを含むことが好ましい。
本発明の他の一態様によると、基地局と、配置サーバーと、CAサーバーと、バックグラウンドネットワーク管理ユニットと、セキュリティ・ゲートウェイと、を含み、基地局は配置サーバーに第1の配置パラメーターを要求するように構成され、配置サーバーは基地局の要求に応じて基地局に第1の配置パラメーターを返送するように構成され、基地局はさらに、配置サーバーが応答した第1の配置パラメーターに基づいてCAサーバーにデジタル証明書を要求するように構成され、CAサーバーは基地局の要求に応じて基地局にデジタル証明書を発行するように構成され、基地局はさらに、取得した証明書に基づいてセキュリティ・ゲートウェイと一時的なIPSecトンネルを確立するとともに、一時的なIPSecトンネルを介してバックグラウンドネットワーク管理ユニットに第2の配置データを要求するように構成され、バックグラウンドネットワーク管理ユニットは基地局の要求に応じて基地局に第2の配置データを返送するように構成され、基地局はさらに、第2の配置データを取得した後、一時的なIPSecトンネルを取り除き、第2の配置データに基づいてセキュリティ・ゲートウェイとの間に永続的なIPSecトンネルを確立するように構成されているIPSecトンネルの確立システムを提供する。
第1の配置パラメーターは、基地局の一時的な伝送IPアドレスと、セキュリティ・ゲートウェイと確立したIPSecトンネルのIPアドレスと、CAサーバーのアドレスと、証明書パスと、生成した証明書の公開鍵長さと、バックグラウンドネットワーク管理ユニットのIPアドレスを含むことが好ましい。
基地局はさらに、CAサーバーにより基地局に発行されたデジタル証明書の有効期限が切れる前に、CAサーバーにデジタル証明書の更新又は秘密鍵の更新を要求するように構成されていることが好ましい。
基地局は、マクロ基地局、企業レベルの小型基地局PICO、家庭レベルのマイクロ基地局Femtoのうちの1つを含むことが好ましい。
本発明によれば、PKI認証方式に基づいて基地局とセキュリティ・ゲートウェイとの間にIPSecトンネルを自動的に確立することによって、既存技術において基地局とコアネットワークとの間で安全な通信リンクを自己発見及び自動確立することができない問題を解決し、基地局による自動配置を実現し、基地局とコアネットワークとの間のデータ伝送のセキュリティ性を確保することができる。
以下に記載の図面は、本発明をさらに理解するために提供され、本願の一部を構成し、本発明の例示な実施例及びその説明は本発明を解釈するものであり、本発明を不当に限定するものではない。
図1は、本発明の実施例に係るIPSecトンネルの確立方法を示すフローチャートである。 図2は、本発明の実施例に係るIPSecトンネルの確立システムの構成を示すブロック図である。 図3は、本発明の実施例1に係る、PKI認証方式に基づいてIPSec安全トンネルを自動的に確立するネットワーク構築の構造を示す図である。 図4は、本発明の実施例1に係る、PKI認証方式に基づいてIPSec安全トンネルを自動的に確立することを示すフローチャートである。
以下、図面を参照しつつ、実施例を結合して本発明を詳しく説明する。ここで、互いに衝突しない限り、本願に記載の実施例及び実施例に記載の特徴を互いに組み合わせることができる。
図1は、本発明の実施例に係るIPSecトンネルの確立方法を示すフローチャートである。図1に示すように、以下のステップを含む。
基地局が、配置サーバーに第1の配置パラメーターを要求し、配置サーバーが応答した第1の配置パラメーターに基づいて、CAサーバーにデジタル証明書を要求する(ステップS102)。
基地局が、取得したデジタル証明書に基づいて、セキュリティ・ゲートウェイと一時的なIPSecトンネルを確立し、一時的なIPSecトンネルを介してバックグラウンドネットワーク管理ユニットに第2の配置データを要求する(ステップS104)。
基地局が、第2の配置データを取得した後、一時的なIPSecトンネルを取り除き、第2の配置データに基づいてセキュリティ・ゲートウェイとの間で永続的なIPSecトンネルを確立する(ステップS106)。
本実施例において、PKI認証方式に基づくIPSec安全トンネルの自動確立方法を提供し、基地局がコアネットワークと伝送リンクを自動的に確立することで、基地局の自動配置を実現し、基地局とコアネットワークとの間のデータ伝送のセキュリティ性を確保することができる。
ここで、ステップS102において、既存のネットワークに配置情報を自動的に割り当てるための配置サーバーを配置し、基地局が正常に電源投入された後、基地局内の自己発見機能によりネットワークで要求配置メッセージを放送し、基地局が配置サーバーに配置パラメーターを要求する。基地局と配置サーバーとの間のデータ伝送のセキュリティ性を確保するために、両方の間のリンクは証明書認証方式に基づくトランスポート層セキュリティプロトコル(TLS:Transport Layer Security Protocol)を用いて確立しなければならなく、使用される証明書は機器出荷前に予めインストールすることができる。基地局はCA(Certificate Authority)サーバーの関連配置データを取得した後、証明書管理プロトコル(CMPv2:Certificate Manage Protocol V2)によりCAサーバーに証明書の発行を要求する。
ここで、ステップS104〜S106において、基地局はさらに、取得した証明書を用いて、コアネットワーク内に配置されたセキュリティ・ゲートウェイとIPSec安全トンネルを確立し、その後、ネットワーク管理ユニットとのリンク確立を要求するメッセージを自発的に送信し、コアネットワークとの伝送リンクを自動的に確立する。
上記実施例において、既存のネットワーク構造を変更させずに、基地局の電源投入後にリンクを自動的に確立し、基地局とバックグラウンドネットワーク管理ユニットとの間のセキュリティ通信を実現することができ、既存技術において基地局とコアネットワークが安全な通信リンクを自己発見及び自動確立できない問題を解決できる。
図2は本発明の実施例に係るIPSecトンネルの確立システムの構成を示すブロック図である。図2に示すように、当該システムは、基地局10と、配置サーバー20と、CAサーバー30と、バックグラウンドネットワーク管理ユニット40と、セキュリティ・ゲートウェイ50と、を含み、ここで、基地局10は配置サーバー20に第1の配置パラメーターを要求するように構成され、配置サーバー20は基地局10の要求に応じて基地局10に第1の配置パラメーターを返送するように構成され、基地局10はさらに、配置サーバー20が応答した第1の配置パラメーターに基づいてCAサーバー30にデジタル証明書を要求するように構成され、CAサーバー30は基地局10の要求に応じて基地局10にデジタル証明書を発行するように構成され、基地局10はさらに、取得したデジタル証明書に基づいてセキュリティ・ゲートウェイ50と一時的なIPSecトンネルを確立し、一時的なIPSecトンネルを介してバックグラウンドネットワーク管理ユニット40に第2の配置データを要求するように構成され、バックグラウンドネットワーク管理ユニット40は基地局10の要求に応じて基地局10に第2の配置データを返送するように構成され、基地局10はさらに、第2の配置データを取得した後、一時的なIPSecトンネルを取り除き、第2の配置データに基づいてセキュリティ・ゲートウェイ50との間に永続的なIPSecトンネルを確立するように構成されている。
本実施例において、PKI認証方式に基づいて基地局とセキュリティ・ゲートウェイとの間のIPSecトンネルを自動的に確立することで、既存技術において基地局とコアネットワークとの間で安全な通信リンクを自己発見及び自動確立できない問題を解決し、基地局の自動配置を実現し、基地局とコアネットワークとの間のデータ伝送のセキュリティ性を確保することができる。
実施例1
図3は本発明の実施例1に係る、PKI認証方式に基づいてIPSec安全トンネルを自動的に確立するネットワーク構築の構造を示す図である。図3に示すように、当該システムは、コアネットワークと、CAサーバーと、セキュリティ・ゲートウェイと、配置サーバーと、一つ又は複数の基地局(図に示す基地局1と2)と、を含む。ここで、上記各ネットワーク要素の、IPSec安全トンネルの確立に関連する機能は以下の通りである。
配置サーバー:基地局の配置パラメーターの管理及びメンテナンスを行い、基地局とTLSリンクを確立し、基地局に、例えば基地局IPアドレス、SeGWのIPアドレス、CAサーバーのアドレス、証明書パス、生成した証明書の公開鍵長さ等のパラメーター及びバックグラウンドネットワーク管理ユニットのIPアドレスの、伝送リンクの確立に必要な配置パラメーターを提供すること。
基地局:自己発見機能を実現し、配置サーバーに配置パラメーターを要求し、セキュリティ・ゲートウェイとIPSec安全トンネルを確立し、バックグラウンドネットワーク管理ユニットに配置及びソフトウェアバージョンパケットを要求すること。
セキュリティ・ゲートウェイ:コアネットワークの内部に配置されたネットワーク要素へのアクセスを要求する基地局とIPSec安全トンネルを確立し、基地局とコアネットワークとの間のデータ伝送のセキュリティ性を確保すること。
CAサーバー:基地局による証明書申請、証明書更新、秘密鍵更新の要求に応じて、基地局とセキュリティ・ゲートウェイに証明書を発行すること、証明書を取り消すこと、証明書状態の調査を提供すること。
コアネットワーク:基地局から送信されたリンク確立要求を受信し、基地局と共に通信リンクを確立すること、基地局を管理し、基地局にソフトウェアバージョンパケット及び配置パラメーター、業務データ等を提供すること。
図4は図3に示すネットワーク構築上のIPSec安全トンネルの確立を示すフローチャートで、当該方法はPKI認証方式に基づいてIPSec安全トンネルを自動的に確立する。本実施例において、まず、既存又は新規のネットワークに配置情報を自動的に割り当てるための配置サーバーを配置し、また、TLSリンク、CAサーバー及びセキュリティ・ゲートウェイの確立をサポートすることができる。基地局は、正常に電源投入された後、先ず、内部の自己発見機能によって配置サーバーとTLSを用いて接続を確立するとともに、配置サーバーに基地局IPアドレス、セキュリティ・ゲートウェイIPアドレス、コアネットワークIPアドレス及びCAサーバーの関連配置パラメーターの取得を要求し、その後、CMPv2プロトコルを利用して、CAサーバーに証明書の取得を要求し、セキュリティ・ゲートウェイとPKI認証方式によるIPSec安全トンネルを確立し、最後に、基地局とコアネットワークとの通信リンクを形成して、基地局の、ネットワーク運用・メンテナンス管理への自動加入を完成する。
図4に示すように、主に以下のステップを含む。
基地局は、正常に電源投入された後、内部の自己発見メカニズムを動作させる(ステップS402)。
基地局は、証明書認証方式に基づいて配置サーバーとTLSを確立し、リンク確立に成功した後、配置サーバーに配置パラメーターメッセージを要求し、配置サーバーは基地局の配置パラメーター要求メッセージに応じて、基地局の一時的な伝送IPアドレス、セキュリティ・ゲートウェイと確立したIPSec安全トンネルのIPアドレス、CAサーバーのアドレス、証明書パス、生成した証明書の公開鍵長さ等のパラメーター、バックグラウンドネットワーク管理ユニットのIPアドレス等の配置データを返送する(ステップS404)。
配置サーバーの応答配置データを取得したか否かを判断する(ステップS406)。
基地局は、配置サーバーの応答配置データを取得した後、証明書管理プロトコル(CMPv2:Certificate Manage Protocol)を利用してCAサーバーに基地局エンティティ証明書及びCAサーバーのルートCA証明書の発行を要求し、基地局エンティティ証明書がCAルート証明書により直接発行されるものでないと、CAサーバーが中間のCA証明書チェーンをも基地局に送信しなければならない(ステップS408)。
証明書の申請に成功したか否かを判断する(ステップS410)。
基地局は、証明書を取得した後、セキュリティ・ゲートウェイと一時的なIPSec安全トンネルを確立し(ステップS412)、具体的には以下のステップを含む。
セキュリティ・ゲートウェイへ主動的にPKI認証方式による一時的なIPSec安全トンネルの確立の要求を発し、セキュリティ・ゲートウェイには予めCAサーバーにより発行されるエンティティ証明書及びルートCA証明書がインストールされており、基地局の要求を受信してIPSec安全トンネルを確立する場合、セキュリティ・ゲートウェイは基地局に基地局エンティティ証明書を要求し、基地局はセキュリティ・ゲートウェイの要求に応じて、基地局エンティティ証明書をセキュリティ・ゲートウェイに送信し、同時に、基地局はセキュリティ・ゲートウェイにそのエンティティ証明書の送信を要求し、セキュリティ・ゲートウェイは基地局エンティティ証明書を受信した後、証明書のサインの有効性、証明書の有効期限、証明書状態等の機密情報の検証を含む証明書の有効性の検証を行い、証明書の検証に成功した後、セキュリティ・ゲートウェイはそのエンティティ証明書を基地局に返送し、基地局はセキュリティ・ゲートウェイのエンティティ証明書を受信した後、同様に証明書の有効性の検証を行い、この時、証明書の検証に成功した後、基地局とセキュリティ・ゲートウェイとの間の一時的なIPSec安全トンネルは既に成功に確立された。
基地局は、再び自己発見メカニズムによって、コアネットワーク内に配置されたバックグラウンドネットワーク管理ユニットにリンク確立要求メッセージを送信し、この時、基地局とバックグラウンドネットワーク管理ユニットとの間の通信データの全ては基地局と安全に確立されたIPSec安全トンネルで保護される(ステップS414)。
バックグラウンドネットワーク管理ユニットと基地局のリンク確立に成功した後、基地局は、Secureファイル転送プロトコルにより、ネットワーク管理ユニットに基地局ソフトウェアバージョンパケットと配置データを要求する(ステップS416)。
バックグラウンドネットワーク管理ユニットは、データベース中の基地局ソフトウェアバージョンが現在のバージョンより新しいものであるか否かを判断し、YESと判断すると、ソフトウェアバージョンパケットと配置データを基地局に送信し、NOと判断すると、配置データのみを送信する(ステップS418)。
基地局は、最新のソフトウェアバージョンパケットと配置データを取得した後、配置サーバーに、関連する配置リソースのリリースを通知し、セキュリティ・ゲートウェイと確立したIPSecセキュリティ通路を取り除く(ステップS420)。
基地局は、取得した新しい配置データによって永続的なIPを取得し、再びPKI認証方式に基づいてセキュリティ・ゲートウェイと永続的なIPSecセキュリティ通路を確立する(ステップS422)。この時、基地局は既に正常の作業を開始した。基地局とコアネットワークとの間のデータ伝送はIPSecセキュリティ通路によって保護された。
上記実施例において、CAサーバーが基地局に発行したデジタル証明書の有効期限がまもなく切れる場合、基地局はさらに、自動トリガーメカニズムによって、CAサーバーに証明書の更新又は秘密鍵の更新を要求することで、基地局の証明書の有効性を確保することもできる。
なお、本発明の上記各実施例で説明したIPSec安全トンネルの確立方法は各種の基地局、例えば、伝統的なマクロ基地局、企業レベルの小型基地局PICO又は家庭レベルのマイクロ基地局Femto等に広く適用することができる。
他の実施例において、IPSecトンネルを確立するソフトウェアを提供し、当該ソフトウェアは上記実施例で説明した技術案を実行するためのものである。
また、他の実施例において、上記ソフトウェアが記憶された記憶媒体を提供し、当該記憶媒体は、光ディスク、フロッピー(登録商標)、ハードディスク、書込み・消去可能なメモリ等を含むが、これらに限定されない。
本発明の上記各実施例によると、PKI認証方式に基づくIPSec安全トンネルの確立方法及びシステムを提供し、既存のネットワーク構造を変更させずに、基地局の電源投入後にリンクを自動的に確立し、基地局とバックグラウンドネットワーク管理ユニットとの間のセキュリティ通信を実現することができ、既存技術において基地局とコアネットワークが安全な通信リンクを自己発見及び自動確立できない問題を解決できる。最も簡単な配置によって、既存技術において配置・メンテナンスが複雑である等の問題をできる限り解決でき、基地局とコアネットワークのセキュリティ・ゲートウェイとの間のセキュリティ性を確保できる。
当業者にとって、上記の本発明の各モジュール又は各ステップは汎用の演算装置によって実現することができ、単独の演算装置に集中させることができるし、複数の演算装置からなるネットワークに分布させることもでき、さらに演算装置が実行可能なプログラムコードによって実現することもできるので、それらを記憶装置に記憶させて演算装置によって実行することができ、また、場合によっては、示した又は記載したステップを、ここでの順序と異なる順序で実行し、或いはそれぞれの集積回路モジュールとして作製し、或いはそのうちの複数のモジュール又はステップを単独の集積回路モジュールとして作製して実現することができることは明らかなことである。このように、本発明は如何なる特定のハードウェアとソフトウェアの結合にも限定されない。
以上は、本発明の好適な実施例に過ぎず、本発明を限定するものではない。当業者であれば本発明に様々な修正や変形が可能である。本発明の精神や原則内での如何なる修正、置換、改良などは本発明の保護範囲内に含まれる。

Claims (11)

  1. 基地局が、設定サーバーに第1の設定パラメーターを要求し、前記設定サーバーが応答した第1の設定パラメーターに基づいて、CAサーバーにデジタル証明書を要求することと、
    前記基地局が、取得した前記デジタル証明書に基づいて、セキュリティ・ゲートウェイと一時的なIPSecトンネルを確立し、前記一時的なIPSecトンネルを介してバックグラウンドネットワーク管理ユニットに第2の設定データを要求することと、
    前記基地局が、前記第2の設定データを取得した後、前記一時的なIPSecトンネルを取り除き、前記第2の設定データに基づいて、前記セキュリティ・ゲートウェイとの間に永続的なIPSecトンネルを確立することと、を含み、
    前記第1の設定パラメーターは、前記基地局の一時的な伝送IPアドレスと、セキュリティ・ゲートウェイと確立したIPSecトンネルのIPアドレスと、CAサーバーのアドレスと、証明書パスと、生成した証明書の公開鍵長さと、バックグラウンドネットワーク管理ユニットのIPアドレスを含むIPSecトンネルの確立方法。
  2. 基地局が設定サーバーに第1の設定パラメーターを要求することは、
    前記基地局が前記設定サーバーとTLSリンクを確立し、前記設定サーバーに第1の設定パラメーターを要求することを含む請求項1に記載の方法。
  3. 前記設定サーバーが応答した第1の設定パラメーターに基づいて、CAサーバーにデジタル証明書を要求することは、
    前記基地局が、設定サーバーが応答した第1の設定データを取得した後、証明書管理プロトコルにより前記CAサーバーに基地局エンティティ証明書及びCAサーバーのルートCA証明書の発行を要求することを含む請求項に記載の方法。
  4. 前記基地局が取得した前記デジタル証明書に基づいてセキュリティ・ゲートウェイと一時的なIPSecトンネルを確立することは、
    前記基地局が、前記セキュリティ・ゲートウェイにPKI認証方式による一時的なIPSecトンネルの確立の要求を発することと、
    前記基地局が、前記セキュリティ・ゲートウェイと各自のエンティティ証明書の遣り取りをし、前記エンティティ証明書の検証に成功した後、前記基地局と前記セキュリティ・ゲートウェイとの間の前記一時的なIPSecトンネルを確立することと、を含む請求項1に記載の方法。
  5. 前記基地局が前記一時的なIPSecトンネルを介してバックグラウンドネットワーク管理ユニットに第2の設定データを要求することは、
    前記基地局が、前記一時的なIPSecトンネルに基づいて、コアネットワーク内に設定された前記バックグラウンドネットワーク管理ユニットにリンク確立要求メッセージを送信することと、
    前記基地局と前記バックグラウンドネットワーク管理ユニットのリンク確立に成功した後、前記基地局がSecureファイル転送プロトコルにより、前記バックグラウンドネットワーク管理ユニットに前記基地局のソフトウェアバージョンパケットと第2の設定データを要求することと、
    前記バックグラウンドネットワーク管理ユニットが、データベース中の基地局のソフトウェアバージョンが現在のバージョンより新しいものであるか否かを判断し、YESと判断すると、前記ソフトウェアバージョンパケットと第2の設定データを前記基地局に送信し、NOと判断すると、前記第2の設定データのみを前記基地局に送信することと、を含む請求項1に記載の方法。
  6. 前記基地局が前記第2の設定データを取得した後、前記一時的なIPSecトンネルを取り除き、前記第2の設定データに基づいて前記セキュリティ・ゲートウェイとの間に永続的なIPSecトンネルを確立することは、
    前記基地局が最新のソフトウェアバージョンパケットと前記第2の設定データを取得した後、前記設定サーバーに、関連する設定リソースのリリースを通知し、前記セキュリティ・ゲートウェイと確立した一時的なIPSecトンネルを取り除き、前記第2の設定データに基づいて、改めて前記セキュリティ・ゲートウェイとPKI認証方式による永続的なIPSecトンネルを確立することを含む請求項に記載の方法。
  7. 前記基地局が前記第2の設定データに基づいて前記セキュリティ・ゲートウェイとの間に永続的なIPSecトンネルを確立した後、
    前記基地局が、前記CAサーバーにより前記基地局に発行されたデジタル証明書の有効期限が切れる前に、前記CAサーバーに前記デジタル証明書の更新又は秘密鍵の更新を要求することを更に含む請求項1乃至のいずれか1つに記載の方法。
  8. 前記基地局は、マクロ基地局、企業レベルの小型基地局PICO、家庭レベルのマイクロ基地局Femtoの中の1つを含む請求項に記載の方法。
  9. 基地局と、設定サーバーと、CAサーバーと、バックグラウンドネットワーク管理ユニットと、セキュリティ・ゲートウェイと、を含み、
    前記基地局は、前記設定サーバーに第1の設定パラメーターを要求するように構成され、
    前記設定サーバーは、前記基地局の要求に応じて前記基地局に前記第1の設定パラメーターを返送するように構成され、
    前記基地局はさらに、前記設定サーバーが応答した第1の設定パラメーターに基づいてCAサーバーにデジタル証明書を要求するように構成され、
    前記CAサーバーは、前記基地局の要求に応じて前記基地局に前記デジタル証明書を発行するように構成され、
    前記基地局はさらに、取得した前記デジタル証明書に基づいて前記セキュリティ・ゲートウェイと一時的なIPSecトンネルを確立するとともに、前記一時的なIPSecトンネルを介して前記バックグラウンドネットワーク管理ユニットに第2の設定データを要求するように構成され、
    前記バックグラウンドネットワーク管理ユニットは、前記基地局の要求に応じて前記基地局に前記第2の設定データを返送するように構成され、
    前記基地局はさらに、前記第2の設定データを取得した後、前記一時的なIPSecトンネルを取り除き、前記第2の設定データに基づいて前記セキュリティ・ゲートウェイとの間に永続的なIPSecトンネルを確立するように構成され
    前記第1の設定パラメーターは、前記基地局の一時的な伝送IPアドレスと、セキュリティ・ゲートウェイと確立したIPSecトンネルのIPアドレスと、CAサーバーのアドレスと、証明書パスと、生成した証明書の公開鍵長さと、バックグラウンドネットワーク管理ユニットのIPアドレスを含むIPSecトンネルの確立システム。
  10. 前記基地局はさらに、前記CAサーバーにより前記基地局に発行されたデジタル証明書の有効期限が切れる前に、前記CAサーバーに前記デジタル証明書の更新又は秘密鍵の更新を要求するように構成されている請求項に記載のシステム。
  11. 前記基地局は、マクロ基地局、企業レベルの小型基地局PICO、家庭レベルのマイクロ基地局Femtoのうちの1つを含む請求項乃至10のいずれか1つに記載のシステム。
JP2015512991A 2012-05-21 2012-07-24 IPSecトンネルの確立方法及びシステム Active JP6022041B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201210158355.4 2012-05-21
CN201210158355.4A CN102711106B (zh) 2012-05-21 2012-05-21 建立IPSec隧道的方法及系统
PCT/CN2012/079108 WO2013174074A1 (zh) 2012-05-21 2012-07-24 建立IPSec隧道的方法及系统

Publications (2)

Publication Number Publication Date
JP2015517773A JP2015517773A (ja) 2015-06-22
JP6022041B2 true JP6022041B2 (ja) 2016-11-09

Family

ID=46903627

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015512991A Active JP6022041B2 (ja) 2012-05-21 2012-07-24 IPSecトンネルの確立方法及びシステム

Country Status (6)

Country Link
US (1) US20150135299A1 (ja)
EP (1) EP2854349A4 (ja)
JP (1) JP6022041B2 (ja)
CN (1) CN102711106B (ja)
RU (1) RU2611020C2 (ja)
WO (1) WO2013174074A1 (ja)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103220818B (zh) * 2013-01-30 2015-12-23 中兴通讯股份有限公司 一种建立X2口IPSec隧道的方法和装置
EP3070993B1 (en) * 2013-11-11 2017-08-16 Huawei Technologies Co., Ltd. Base station activation
JP2016063234A (ja) * 2014-09-12 2016-04-25 富士通株式会社 通信装置の通信制御方法,通信装置,通信制御システム
WO2016078378A1 (en) * 2014-11-17 2016-05-26 Huawei Technologies Co., Ltd. Method, server, base station and communication system for configuring security parameters
US10389538B2 (en) * 2017-03-08 2019-08-20 A10 Networks, Inc. Processing a security policy for certificate validation error
US20180288035A1 (en) * 2017-03-30 2018-10-04 Avaya Inc. Device enrollment service system and method
US11190510B2 (en) * 2017-11-15 2021-11-30 Parallel Wireless, Inc. Two-factor authentication in a cellular radio access network
US10693664B2 (en) * 2018-07-20 2020-06-23 Dell Products L.P. Systems and methods to build a trusted hypertext transfer protocol secure session on a limited pre-boot basic input/output system environment
CN110798437B (zh) * 2018-08-03 2023-02-21 中兴通讯股份有限公司 一种数据保护方法、装置及计算机存储介质
CN110602256B (zh) * 2019-10-08 2022-07-08 杭州领克信息科技有限公司 一种工业设备远程维护的安全保护方法
CN112714439B (zh) * 2019-10-25 2022-08-30 大唐移动通信设备有限公司 通信数据的安全传输方法、装置、设备及存储介质
CN111556064B (zh) * 2020-05-06 2022-03-11 广东纬德信息科技股份有限公司 基于电力网关的密钥管理方法、装置、介质及终端设备
CN111600775B (zh) * 2020-05-15 2022-02-22 苏州浪潮智能科技有限公司 一种集群加密迁移的安全性测试方法、装置、设备和介质
CN117063441A (zh) * 2021-03-12 2023-11-14 上海诺基亚贝尔股份有限公司 离线网络安全配置
CN114050931B (zh) * 2021-11-10 2024-05-28 湖北天融信网络安全技术有限公司 一种数据传输的方法、装置、电子设备及可读存储介质
CN114567548B (zh) * 2022-01-26 2023-11-07 三维通信股份有限公司 基站的安全网关配置管理方法、系统和电子装置
CN115296988B (zh) * 2022-10-09 2023-03-21 中国电子科技集团公司第三十研究所 一种实现IPSec网关动态组网的方法

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4304362B2 (ja) * 2002-06-25 2009-07-29 日本電気株式会社 Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム
JP3775791B2 (ja) * 2002-08-13 2006-05-17 株式会社エヌ・ティ・ティ・データ Ic、データ処理システム及びコンピュータプログラム
US7428226B2 (en) * 2002-12-18 2008-09-23 Intel Corporation Method, apparatus and system for a secure mobile IP-based roaming solution
US10375023B2 (en) * 2004-02-20 2019-08-06 Nokia Technologies Oy System, method and computer program product for accessing at least one virtual private network
US7437551B2 (en) * 2004-04-02 2008-10-14 Microsoft Corporation Public key infrastructure scalability certificate revocation status validation
WO2006032003A2 (en) * 2004-09-13 2006-03-23 Nextel Communications, Inc. System and method for handoff processing
KR100759489B1 (ko) * 2004-11-18 2007-09-18 삼성전자주식회사 이동통신망에서 공개키 기반구조를 이용한 아이피보안터널의 보안 방법 및 장치
US8046579B2 (en) * 2005-10-04 2011-10-25 Neopost Technologies Secure gateway with redundent servers
US7848335B1 (en) * 2005-10-27 2010-12-07 Juniper Networks, Inc. Automatic connected virtual private network
US20070283430A1 (en) * 2006-06-02 2007-12-06 Research In Motion Limited Negotiating vpn tunnel establishment parameters on user's interaction
US20080022374A1 (en) * 2006-06-29 2008-01-24 Research In Motion Limited System and method for securely communicating with a server
US7905305B2 (en) * 2006-07-07 2011-03-15 Mattel, Inc. Blow-molded wheels having undulating treads, methods for producing the same, and children's ride-on vehicles including the same
CN100440846C (zh) * 2007-01-26 2008-12-03 成都迈普产业集团有限公司 虚拟专用网动态连接方法
US20100185849A1 (en) * 2007-06-11 2010-07-22 Telefonaktiebolaget L M Ericsson (Publ) Method and arrangement for certificate handling
CN101364910B (zh) * 2007-08-09 2011-07-13 中兴通讯股份有限公司 一种自组织网络的系统和方法
CN101227376B (zh) * 2008-02-04 2010-07-28 杭州华三通信技术有限公司 一种虚拟专用网多实例安全接入的方法及设备
US8670443B2 (en) * 2008-12-26 2014-03-11 Nec Corporation Communication system, femto-cell base station, and communication method
US8738696B2 (en) * 2009-01-29 2014-05-27 At&T Mobility Ii Llc Single subscription management for multiple devices
US8548171B2 (en) * 2009-02-27 2013-10-01 Cisco Technology, Inc. Pair-wise keying for tunneled virtual private networks
EP2966888A1 (en) * 2009-03-05 2016-01-13 Interdigital Patent Holdings, Inc. Method and apparatus for h(e)nb integrity verification and validation
US8559392B2 (en) * 2009-07-30 2013-10-15 Cisco Technology, Inc. Inter-technology handovers for wireless networks
CN106230872A (zh) * 2009-11-25 2016-12-14 安全第公司 对移动中数据进行保护的系统和方法
US9900210B2 (en) * 2010-04-09 2018-02-20 Nokia Solutions And Networks Oy Establishing connectivity between a relay node and a configuration entity
US20130104207A1 (en) * 2010-06-01 2013-04-25 Nokia Siemens Networks Oy Method of Connecting a Mobile Station to a Communcations Network
CN101969414B (zh) * 2010-10-15 2012-10-03 北京交通大学 一种标识分离映射网络中IPSec网关自动发现的方法
US8627064B2 (en) * 2011-03-24 2014-01-07 Alcatel Lucent Flexible system and method to manage digital certificates in a wireless network

Also Published As

Publication number Publication date
JP2015517773A (ja) 2015-06-22
RU2014147182A (ru) 2016-07-20
EP2854349A1 (en) 2015-04-01
RU2611020C2 (ru) 2017-02-17
CN102711106A (zh) 2012-10-03
US20150135299A1 (en) 2015-05-14
CN102711106B (zh) 2018-08-10
WO2013174074A1 (zh) 2013-11-28
EP2854349A4 (en) 2015-08-12

Similar Documents

Publication Publication Date Title
JP6022041B2 (ja) IPSecトンネルの確立方法及びシステム
JP6100333B2 (ja) 安全な遠隔加入管理
US11082855B2 (en) Secure onboarding of a device having an embedded universal integrated circuit card without a preloaded provisioning profile
US11388594B2 (en) Mutual authentication between wireless access devices
EP1966929B1 (en) Methods and system for managing security keys within a wireless network
EP2965465B1 (en) Handling of digital certificates
US8495377B2 (en) Enabling secure access to sensor network infrastructure using multiple interfaces and application-based group key selection
EP3326321B1 (en) Method and apparatus for providing secure communication among constrained devices
US20210377054A1 (en) Systems and methods for managing public key infrastructure certificates for components of a network
US10735208B2 (en) Future certificate revocation using CRL
CN101356759A (zh) 安全密钥材料的基于令牌的分布式生成
CN1507733A (zh) 利用公开密钥加密的对称密钥的建立
CN106465101B (zh) 无线网络接入保护和安全架构的系统和方法
US11523277B2 (en) Method of dynamically provisioning a key for authentication in relay device
US11855977B2 (en) Systems and methods for configuring a network function proxy for secure communication
KR20170046713A (ko) 공개 키 인프라스트럭처에서의 트러스트 앵커 업데이트
KR20170130904A (ko) 단말 장치와 서비스 서버 간의 연결 설정 방법 및 이를 위한 장치
JP5562483B2 (ja) 無線通信ネットワーク、およびメッセージを認証する方法
CN114097261A (zh) 网络切片特定凭证的动态分配
Martignon et al. DSA‐Mesh: a distributed security architecture for wireless mesh networks
WO2015193968A1 (ja) 通信装置、無線マルチホップネットワークシステムおよびフレームカウンタ設定方法
Ray et al. Applicability of lte public key infrastructure based device authentication in industrial plants

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150526

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160212

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160308

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160603

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160913

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161004

R150 Certificate of patent or registration of utility model

Ref document number: 6022041

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250